Falha detectada no Microsoft Outlook 2007-2013 para Windows e Mac que permite um ataque Billion laughs

O pesquisador de segurança Lubomir Stroetmann da softScheck identificou uma vulnerabilidade de Negação de Serviço no Microsoft Outlook 2007, 2010 e 2013 executando no sistema operacional Windows e no Microsoft Outlook 2011 para MAC. Lubomir diz que, embora tenha avisado a Microsoft sobre a vulnerabilidade, a Microsoft reconheceu a vulnerabilidade, mas um patch ainda não foi lançado.

Lubomir disse que, embora a falha fosse de risco médio, um potencial atacante pode usá-la para um ataque de Negação de Serviço. Para executar a falha, um atacante remoto pode enviar um email em texto simples contendo uma bomba XML como corpo da mensagem, fazendo com que o Outlook congele ao abrir o email. Isso força o usuário a encerrar o processo do Outlook. Na configuração padrão do Outlook, na qual o conteúdo do email é exibido em um painel de leitura na janela principal, o impacto é mais severo: o Outlook congelará ao iniciar e não conseguirá mais iniciar, pois tenta abrir e exibir o email durante a inicialização. Uma bomba XML também é conhecida como Billion laughs. A Billion laughs é uma bomba XML que consiste em uma Definição de Tipo de Documento (DTD) XML válida contendo várias entidades aninhadas, cada uma referenciando a anterior. Quando o email é aberto, o Outlook congela enquanto tenta expandir todas as entidades aninhadas na memória, o que faz com que o processo do Outlook aumente constantemente o uso de RAM. Esse tipo de ataque foi relatado já em 2003 e foi coberto em profundidade em 2009 em um relatório da Microsoft. Após terminar a expansão, o Outlook eventualmente retorna a um estado estável, por isso Lubomir marcou isso como uma falha de risco médio. No entanto, uma vez que a bomba XML foi recebida pelo usuário, o Outlook pode levar dias e, devido ao crescimento exponencial da tarefa, pode ser expandido para levar ainda mais tempo ao adicionar mais aninhamento.

Lubomir diz que a única maneira de resolver o problema é reiniciar o PC com Windows em modo seguro e abrir o Outlook. Uma vez que você abrir o Outlook, você deve excluir a mensagem que contém a bomba XML.

Lubomir acrescenta que mudar a configuração de segurança do Outlook “Ler todos os emails padrão em texto simples” não é uma proteção eficaz contra essa vulnerabilidade e o Outlook ainda congelará ao abrir o email. Lubomir diz que essa falha também pode afetar outros aplicativos do Office, pois eles usam o mesmo analisador de formato XML do Office (por exemplo, colar uma bomba XML em um documento do Microsoft Word).

Impacto
———
O ataque está documentado publicamente e é fácil de explorar. O impacto geral é baixo.

Cronograma
——–
2014-02-26 Contatado o Centro de Resposta de Segurança da Microsoft
2014-02-28 Contatado o CERT/CC
2014-03-20 Contatado a Microsoft Alemanha
2014-04-03 Lançamento público do aviso

Recurso: CX Security